Liste de contrôle pour une sécurité renforcée
La liste suivante formule des recommandations pour améliorer la sécurité (« renforcée ») de votre installation Tableau Server.
Vous recherchez Tableau Server sur Linux? Consultez Liste de contrôle pour une sécurité renforcée(Le lien s’ouvre dans une nouvelle fenêtre)
Installation des mises à jour de sécurité
Les mises à jour de sécurité sont incluses dans les dernières versions et les versions de maintenance (MR) de Tableau Server. Vous ne pouvez pas installer les mises à jour de sécurité en tant que correctifs. Au lieu de cela, vous devez effectuer une mise à niveau vers une version ou une MR actuelle pour mettre à jour Tableau Server avec les derniers correctifs de sécurité.
Reportez-vous toujours à la version la plus récente de cette rubrique après la mise à niveau. La version actuelle inclut /current/
dans l’URL de la rubrique.
Par exemple, l’URL de la version française est : https://help.tableau.com/current/server/fr-ca/security_harden.htm.
1. Mettre à jour vers la version actuelle
Nous vous recommandons de toujours exécuter la dernière version de Tableau Server. Par ailleurs, Tableau publie régulièrement des mises à jour de maintenance de Tableau Server comprenant des correctifs pour les vulnérabilités de sécurité connues. (Des informations concernant les vulnérabilités de sécurité connues sont disponibles sur la page Bulletins de sécurité Tableau et la page Salesforce Security Advisors(Le lien s’ouvre dans une nouvelle fenêtre).) Nous vous recommandons de vérifier les notifications des mises à jour de maintenance pour savoir si vous devez les installer.
Pour obtenir la version de distribution ou la version de maintenance la plus récente de Tableau Server, rendez-vous sur le Portail client(Le lien s’ouvre dans une nouvelle fenêtre).
2. Configurer le protocole SSL/TLS avec un certificat de confiance valide
Le protocole Secure Sockets Layer (SSL/TLS) est indispensable pour assurer la sécurité des communications avec Tableau Server. Configurez Tableau Server avec un certificat de confiance valide (pas un certificat autosigné) afin que Tableau Desktop, les appareils mobiles et les clients Web puissent se connecter au serveur via une connexion sécurisée. Pour plus d’informations, consultez SSL.
3. Désactiver les anciennes versions du protocole TLS
Tableau Server utilise le protocole TLS pour authentifier et chiffrer de nombreuses connexions entre les composants et avec les clients externes. Les clients externes tels que les navigateurs, Tableau Desktop et Tableau Mobile se connectent à Tableau en TLS via HTTPS. Le protocole TLS (Transport Layer Security) est une version améliorée du SSL. En fait, les versions plus anciennes du SSL (SSL v2 et v3) ne sont plus considérées comme des normes de communication sécurisée adéquates. Dès lors, Tableau Server n’autorise pas les clients externes à utiliser les versions 2 et 3 du protocole SSL pour se connecter.
Nous vous recommandons d’autoriser les clients externes à se connecter à Tableau Server avec le protocole TLS v1.3 et TLS v1.2 uniquement.
TLS v1.2 est toujours considéré comme un protocole sécurisé et de nombreux clients (y compris Tableau Desktop) ne prennent pas encore en charge TLS v1.3.
Les clients compatibles TLS v1.3 négocieront TLS v1.3 même si TLS v1.2 est pris en charge par le serveur.
La commande tsm suivante active la version TLS v1.2 et v1.3 (avec le paramètre « all ») et désactive les protocoles SSL v2, SSL v3, TLS v1 et TLS v1.1 (en ajoutant le signe moins [-] à un protocole donné). TLS v1.3 n’est pas encore pris en charge par tous les composants de Tableau Server.
tsm configuration set -k ssl.protocols -v "all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1"
tsm pending-changes apply
Pour modifier les protocoles qui régissent SSL pour le référentiel Tableau Server PostgreSQL, consultez pgsql.ssl.ciphersuite.
Vous pouvez également modifier la liste par défaut des suites de chiffrement que Tableau Server utilise pour les sessions SSL/TLS. Pour plus d’informations, consultez la section ssl.ciphersuite dans Options tsm configuration set.
4. Configurer le chiffrement SSL pour le trafic interne
Configurez Tableau Server pour qu’il utilise le protocole SSL pour chiffrer l’ensemble du trafic entre le référentiel Postgres et les autres composants du serveur. Par défaut, SSL est désactivé pour les communications entre les composants du serveur et le référentiel. Nous recommandons d’activer le protocole SSL interne pour toutes les instances de Tableau Server, même les installations avec un seul serveur. L’activation du protocole SSL interne est particulièrement importante pour les déploiements multi-nœuds. Voir Configurer SSL pour la communication Postgres interne.
5. Activer la protection par pare-feu
Tableau Server a été conçu pour fonctionner à l’intérieur d’un réseau interne protégé.
Important : N’exécutez pas Tableau Server out tout autre composant de Tableau Server sur Internet ou dans un DMZ. Tableau Server doit être exécuté avec le réseau entreprise protégé par un pare-feu Internet. Nous recommandons la configuration d’une solution de proxy inverse pour les clients Internet qui doivent se connecter à Tableau Server. Consultez Configuration des proxys et des équilibreurs de charge pour Tableau Server.
Il est conseillé d’activer un pare-feu local sur le système d’exploitation afin de protéger Tableau Server dans les déploiements à un ou plusieurs nœuds. Dans une installation distribuée (à plusieurs nœuds) de Tableau Server, la communication entre les nœuds n’est pas une communication sécurisée. Par conséquent, vous devez activer les pare-feu sur les ordinateurs qui hébergent Tableau Server.
Pour empêcher toute personne malveillante d’observer les communications entre les nœuds, configurez un réseau local virtuel séparé ou une autre solution de sécurité de couche réseau.
Consultez Ports de Tableau Services Manager pour comprendre de quels ports et services Tableau Server a besoin.
6. Limiter l’accès à l’ordinateur serveur et aux répertoires importants
Les fichiers de configuration de Tableau Server et les fichiers journaux peuvent contenir de précieux renseignements pour un cybercriminel. Veillez dès lors à restreindre l’accès physique à la machine qui exécute Tableau Server. Assurez-vous également que seuls les utilisateurs autorisés et les utilisateurs de confiance ont accès aux fichiers Tableau Server du répertoire C:\ProgramData\Tableau
.
7. Mettre à jour Tableau Server pour utiliser le compte Exécuter en tant qu’utilisateur
Par défaut, Tableau Server s’exécute sous le compte Windows prédéfini Services réseau (Autorité NT / Service réseau). L’utilisation du compte par défaut est acceptable dans les scénarios où Tableau Server ne doit pas se connecter à des sources de données externes nécessitant l’authentification Windows. Toutefois, si vos utilisateurs doivent accéder à des sources de données authentifiées par Active Directory, mettez à jour le compte Exécuter en tant qu’utilisateur vers un compte de domaine. Il est important de minimiser les droits du compte que vous utilisez pour le compte Exécuter en tant qu’utilisateur. Pour plus d’informations, consultez Compte Exécuter en tant que service.
8. Générer de nouveaux secrets et jetons
Chaque service Tableau Server qui communique avec le référentiel ou le serveur de cache doit d’abord s’authentifier avec un jeton secret. Le jeton secret est généré durant l’installation de Tableau Server. La clé de chiffrement utilisée par le protocole SSL interne pour chiffrer le trafic vers le référentiel Postgres est également générée durant l’installation.
Après avoir installé Tableau Server, nous vous recommandons de générer de nouvelles clés de chiffrement pour votre déploiement.
Ces actifs de sécurité peuvent être générés à nouveau à l’aide de la commande tsm security regenerate-internal-tokens
.
Exécutez les commandes suivantes :
tsm security regenerate-internal-tokens
tsm pending-changes apply
9. Désactiver les services que vous n’utilisez pas
Pour minimiser la surface d’attaque de Tableau Server, désactivez les points de connexion inutiles.
Service JMX
JMX est désactivé par défaut. S’il est activé, mais que vous ne l’utilisez pas, désactivez-le en utilisant la séquence suivante de commandes :
tsm configuration set -k service.jmx_enabled -v false
tsm pending-changes apply
10. Vérifier la configuration de la durée de vie de la session
Par défaut, Tableau Server n’a pas de durée limite de session absolue. Cela signifie que les sessions (création Web) d’un client dans un navigateur peuvent rester ouvertes indéfiniment tant que la durée limite d’inactivité de Tableau Server n’est pas dépassée. La durée limite d’inactivité par défaut est de 240 minutes.
Si votre politique de sécurité l’exige, vous pouvez définir une durée limite de session absolue. Assurez-vous de définir le délai d’expiration absolu de votre session dans une plage qui accepte les opérations de téléversement d’extraits ou de publication de classeur à exécution la plus longue dans votre entreprise. Si vous définissez le délai d’expiration de la session sur une durée trop courte, les extraits et les publications échoueront pour les opérations qui durent le plus longtemps.
Pour définir le délai d’expiration de la session, exécutez les commandes suivantes :
tsm configuration set -k wgserver.session.apply_lifetime_limit -v true
tsm configuration set -k wgserver.session.lifetime_limit -v value
, où value correspond au nombre de minutes. La valeur par défaut est 1440, qui correspond à 24 heures.
tsm configuration set -k wgserver.session.idle_limit -v value
, où value correspond au nombre de minutes. La valeur par défaut est 240.
tsm pending-changes apply
Les sessions pour les clients connectés (Tableau Desktop, Tableau Mobile, Tableau Prep Builder, Bridge et jetons d’accès personnels) utilisent les jetons OAuth pour empêcher les utilisateurs de se connecter en rétablissant une session. Vous pouvez désactiver ce comportement si vous souhaitez que toutes les sessions clients Tableau soient uniquement régies par les limites de session dans un navigateur contrôlées par les commandes ci-dessus. Consultez Désactiver l’authentification client automatique.
11. Configurer une liste d’autorisations de serveurs pour les sources de données basées sur des fichiers
Depuis les versions de Tableau Server d’octobre 2023, le comportement d’accès basé sur les fichiers par défaut a changé. Auparavant, Tableau Server permettait aux utilisateurs Tableau Server autorisés de créer des classeurs qui utilisent des fichiers sur le serveur en tant que sources de données basées sur des fichiers (comme les feuilles de calcul). Avec les versions d’octobre 2023, l’accès aux fichiers stockés sur Tableau ou sur des partages distants doit être spécialement configuré sur Tableau Server à l’aide du paramètre décrit ici.
Ce paramètre vous permet de limiter l’accès au Compte Exécuter en tant que service uniquement aux répertoires que vous spécifiez.
Pour configurer l’accès aux fichiers partagés, vous devez configurer la fonctionnalité de liste d’autorisations. Cette fonctionnalité vous permet de limiter l’accès au compte Exécuter en tant que service uniquement aux chemins d’accès des répertoires locaux où vous hébergez les fichiers de données.
Sur l’ordinateur qui exécute Tableau Server, identifiez les répertoires où vous hébergerez les fichiers de source de données.
Important Assurez-vous que les chemins d’accès du fichier que vous spécifiez dans ce paramètre existent et sont accessibles sur le compte de service.
Exécutez les commandes suivantes :
tsm configuration set -k native_api.allowed_paths -v "path"
, où path est le répertoire à ajouter à la liste d’autorisations. Tous les sous-répertoires du chemin d’accès spécifié seront ajoutés à la liste d’autorisations. Vous devez ajouter une barre oblique inversée à la fin du chemin spécifié. Pour spécifier plusieurs chemins d’accès, séparez-les par un point-virgule, comme dans cet exemple :tsm configuration set -k native_api.allowed_paths -v "c:\datasources;\\HR\data\"
tsm pending-changes apply
12. Activer HTTP Strict Transport Security pour les clients de navigateurs Web
HTTP Strict Transport Security (HSTS) est une stratégie configurée sur des services d’application Web, tels que Tableau Server. Lorsqu’un navigateur compatible rencontre une application Web exécutant HSTS, toutes les communications avec le service doivent s’effectuer sur une connexion sécurisée (HTTPS). HSTS est pris en charge par les principaux navigateurs.
Pour plus d’informations sur le mode de fonctionnement de HSTS et les navigateurs qui le prennent en charge, consultez la page Web de l’Open Web Application Security Project, Fiche de référence sur HTTP Strict Transport Security(Le lien s’ouvre dans une nouvelle fenêtre).
Pour activer HSTS, exécutez les commandes suivantes dans Tableau Server :
tsm configuration set -k gateway.http.hsts -v true
Par défaut, la stratégie HSTS est configurée pour une année (31 536 000 secondes). Cette période spécifie la durée pendant laquelle le navigateur accédera au serveur via HTTPS. Vous pouvez envisager de configurer une durée maximale courte pendant le déploiement initial de HSTS. Pour modifier cette période, exécutez tsm configuration set -k gateway.http.hsts_options -v max-age=<seconds>
. Par exemple, pour configurer une période de stratégie HSTS applicable sur 30 jours, saisissez tsm configuration set -k gateway.http.hsts_options -v max-age=2592000
.
tsm pending-changes apply
13. Désactiver l’accès Invité
Les licences basées sur le nombre de cœurs dans Tableau Server incluent une option Utilisateur invité qui permet à tous les utilisateurs dans votre organisation de voir des vues Tableau intégrées dans des pages Web et d’interagir avec elles.
L’accès Utilisateur invité est activé par défaut sur les serveurs Tableau déployés avec des licences basées sur les cœurs.
L’accès Invité permet aux utilisateurs de voir les vues intégrées. L’utilisateur invité ne peut pas accéder à l’interface Tableau Server et ne voit pas les éléments de l’interface serveur dans la vue, par exemple le nom d’utilisateur, les paramètres de compte, les commentaires, etc.
Si votre organisation a déployé Tableau Server avec des licences basées sur le nombre de cœurs et que l’accès Invité n’est pas requis, désactivez l’accès Invité.
Vous pouvez désactiver l’accès Invité au niveau du serveur ou du site.
Vous devez être un administrateur de serveur pour désactiver le compte Invité au niveau du serveur ou du site.
Pour désactiver l’accès Invité au niveau du serveur :
Dans le menu Site, cliquez sur Gérer tous les sites puis cliquez sur Paramètres > Général.
Dans Accès Invité, désélectionnez la case à cocher Activer le compte Invité.
Cliquez sur Enregistrer.
Pour désactiver l’accès Invité pour un site :
Dans le menu du site, sélectionnez un site.
Cliquez sur Paramètres, puis dans la page Paramètres, désactivez la case à cocher Activer le compte Utilisateur invité.
Pour plus d’informations, consultez Utilisateur invité.
14. Définir l’en-tête HTTP referrer-policy sur « same-origin »
Depuis 2019.2, Tableau Server inclut la possibilité de configurer le comportement de l’en-tête HTTP Referrer-Policy. Cette stratégie est activée avec un comportement par défaut qui inclura l’URL d’origine pour toutes les connexions "secure as" (no-referrer-when-downgrade
), avec envoi des informations de référent d’origine uniquement aux connexions similaires (HTTP vers HTTP) ou plus sécurisées (HTTP vers HTTPS).
Cependant, nous vous recommandons de définir cette valeur sur same-origin
, qui n’envoie que les informations du référent à same-site origins. Les demandes provenant de l’extérieur du site ne recevront pas d’informations de référent.
Pour mettre à jour la stratégie referrer-policy sur same-origin
, exécutez les commandes suivantes :
tsm configuration set -k gateway.http.referrer_policy -v same-origin
tsm pending-changes apply
Pour plus d’informations sur la configuration d’en-têtes supplémentaires pour améliorer la sécurité, consultez En-têtes de réponse HTTP.
15. Configurer TLS pour la connexion SMTP
Depuis 2019.4, Tableau Server inclut la possibilité de configurer TLS pour la connexion SMTP. Tableau Server ne prend en charge que STARTTLS (TLS opportuniste ou explicite).
Tableau Server peut être configuré en option pour se connecter à un serveur de messagerie. Une fois SMTP configuré, Tableau Server peut envoyer un courriel aux administrateurs de serveur pour les informer de pannes système, et aux utilisateurs du serveur pour des informations sur les vues auxquelles ils sont abonnés et les alertes basées sur les données.
Pour configurer TLS pour SMTP :
- Téléversez le certificat compatible sur Tableau Server. Consultez tsm security custom-cert add.
- Configurez la connexion TLS en utilisant l’interface en ligne de commande TSM.
Exécutez les commandes TSM suivantes pour activer et forcer les connexions TLS au serveur SMTP et pour activer la vérification du certificat.
tsm configuration set -k svcmonitor.notification.smtp.ssl_enabled -v true
tsm configuration set -k svcmonitor.notification.smtp.ssl_required -v true
tsm configuration set -k svcmonitor.notification.smtp.ssl_check_server_identity -v true
Par défaut, Tableau Server prend en charge les versions TLS 1, 1.1 et 1.2, mais nous vous recommandons de spécifier la version TLS la plus élevée prise en charge par le serveur SMTP.
Exécutez la commande suivante pour définir la version. Les valeurs valides sont
SSLv2Hello
,SSLv3
,TLSv1
,TLSv1.1
etTLSv1.2
. L’exemple suivant définit la version TLS sur la version 1.2. :tsm configuration set -k svcmonitor.notification.smtp.ssl_versions -v "TLSv1.2"
Pour plus d’informations sur les autres options de configuration TLS, consultez Configurer les paramètres SMTP.
- Redémarrez Tableau Server pour appliquer les modifications. Exécutez la commande suivante :
tsm pending-changes apply
16. Configurer SSL pour LDAP
Si votre déploiement de Tableau Server est configuré pour utiliser un magasin d’identité externe LDAP générique, nous vous recommandons de configurer SSL pour protéger l’authentification entre Tableau Server et votre serveur LDAP. Consultez Configurer le réseau chiffré vers le magasin d’identités externe LDAP.
Si votre déploiement Tableau Server est configuré pour utiliser Active Directory, nous vous recommandons d’activer Kerberos pour protéger le trafic d’authentification. Consultez Kerberos.
17. Déterminer les autorisations pour les emplacements d’installation non par défaut
Si vous installez Tableau Server sur Windows à un emplacement non par défaut, nous vous recommandons de définir manuellement les autorisations du répertoire d’installation personnalisé de manière à limiter l’accès.
Par défaut, Tableau Server est installé sur le lecteur système. Le lecteur sur lequel Windows est installé est le lecteur système. Dans la plupart des cas, le lecteur système est le lecteur C:\. Dans ce cas par défaut, Tableau Server est installé dans les répertoires suivants :
C:\Program Files\Tableau\Tableau Server\packages
C:\ProgramData\Tableau\Tableau Server
Toutefois, de nombreux clients s’installent sur un lecteur autre que le lecteur système ou dans un répertoire différent. Si vous avez sélectionné un lecteur d’installation ou un emplacement de dossier différent lors de l’installation, le répertoire de données de Tableau Server sera installé sur le même chemin d’accès.
Pour déterminer les autorisations sur le répertoire d’installation personnalisé, seuls les comptes suivants doivent disposer des autorisations correspondantes sur le dossier d’installation et tous les sous-dossiers :
Configurez les autorisations pour ce compte : | Autorisations requises |
---|---|
Compte utilisateur utilisé pour installer et mettre à niveau Tableau Server | Contrôle total |
Compte utilisateur utilisé pour exécuter les commandes TSM | Contrôle total |
Compte système | Contrôle total |
Exécuter en tant que compte de service, service réseau et service local | Lecture et exécution |
Une procédure de définition de ces autorisations est décrite dans la section Installation dans un emplacement autre que par défaut.
Liste des changements
Date | Change |
---|---|
May 2018 | Added clarification: Do not disable REST API in organizations that are running Tableau Prep. |
May 2019 | Added recommendation for referrer-policy HTTP header. |
June 2019 | Removed recommendation to disable Triple-DES. As of version 2019.3, Triple-DES is no longer a default supported cipher for SSL. See Ce qui a changé - À savoir avant d’effectuer la mise à niveau. |
January 2020 | Added recommendation to configure TLS for SMTP. |
February 2020 | Added recommendation to configure SSL for LDAP server. |
May 2020 | Added TLS v1.3 to the disabled list of TLS ciphers. Added clarification to introduction about topic versioning. |
August 2020 | Added scoped permissions for non-default installations on Windows |
October 2020 | Added TLS v1.3 as a default supported cipher. |
January 2021 | Added clarification: All products enabled by the Data Management license require REST API. |
February 2021 | Removed recommendation to disable REST API. The API is now used internally by Tableau Server and disabling it may limit functionality. |